Konfigurowanie serwera bramy usług pulpitu zdalnego w systemie Windows Server 2022, 2019 lub 2016

Wprowadzenie

Serwer bramy RDS jest przydatny do umożliwienia użytkownikom Internetu bezpiecznego dostępu do środowiska RDS.

Serwer bramy usług pulpitu zdalnego (RDS) używa certyfikatu SSL do szyfrowania komunikacji między klientami a serwerami RDS.

IIS służy do uwierzytelniania i konfigurowania zasad w celu szczegółowego określenia, którzy użytkownicy powinni mieć dostęp do zasobów. 

Ten przewodnik zakłada, że wdrożenie RDS (zawierające role brokera połączeń RDS, licencjonowanie i hosty sesji) już istnieje.

Aby uzyskać więcej informacji na temat konfigurowania podstawowego lub zaawansowanego wdrożenia rds, zapoznaj się z artykułem bazy wiedzy firmy Dell 217251 Jak — wdrażanie standardowych usług pulpitu zdalnego — krok po kroku. Inny artykuł do wyświetlenia to artykuł kb 215230 Instalacja i aktywacja hosta sesji RDS bez brokera połączeń (grupa robocza) — Windows Server 2022. 

Wdrożenie roli serwera bramy usług pulpitu zdalnego.

1. Na komputerze z systemem Windows Server, na którym hostuje się rola brokera połączeń dla wdrożenia RDS, w Menedżerze serwera kliknij opcję Zarządzaj , a następnie dodaj role i funkcje. Kliknij przycisk Dalej na ekranie powitalnym.

2. Wybierz instalację opartą na rolach lub opartą na funkcjach i kliknij przycisk Dalej.
3. Wybierz serwer docelowy dla roli bramy RD tego wdrożenia i kliknij przycisk Dalej. Na poniższym zrzucie ekranu serwer docelowy to "rdsfarm". 
4. Na ekranie Roles rozwiń pozycję Usługi pulpitu zdalnego i kliknij pole wyboru Brama pulpitu zdalnego .

5. Kliknij przycisk Dodaj funkcje , aby zainstalować wymagania wstępne, a następnie przycisk Dalej , aż do wyświetlenia ekranu potwierdzenia, a następnie kliknij przycisk Zainstaluj.

6. Poczekaj na zakończenie instalacji, a następnie kliknij przycisk Zamknij.

7. W menedżerze serwera brokera połączeń w węźle usług pulpitu zdalnego kliknijzielone kółko ze znakiem plus powyżej bramy usług pulpitu zdalnego.

8. Wybierz serwer skonfigurowany jako brama RD. Przesuń go w prawą stronę i kliknij przycisk Dalej.

9. Wprowadź nazwę FQDN serwera bramy usług pulpitu zdalnego. (Ten krok umożliwia skonfigurowanie tematu na certyfikacie z podpisem własnym utworzonym przez tego kreatora. Nie jest to certyfikat używany w tym przewodniku). Kliknij przycisk Next.

10. Kliknij przycisk Dodaj , aby potwierdzić dodanie do wdrożenia, poczekaj na zakończenie instalacji roli, a następnie kliknij przycisk Zamknij.

Skonfiguruj certyfikat.

11. Nadal w Menedżerze serwera, w sekcji Broker połączeń, w sekcji Przegląd wdrożenia, kliknij pozycję Zadania , a następnie edytuj właściwości wdrożenia.
      
    

12. Kliknij węzeł Certyfikaty.

Ważne!
Do celów testowych można użyć utworzonego w tym miejscu certyfikatu z podpisem własnym lub certyfikatu utworzonego automatycznie wcześniej w kreatorze. Należy jednak skonfigurować środowisko produkcyjne RDS do korzystania z certyfikatu zaufanego publicznego lub opartego na domenie urzędu certyfikacji.
W tym przewodniku przedstawiono sposób konfiguracji certyfikatu z zaufanego publicznego urzędu certyfikacji. W ten sposób ten certyfikat nie musi być instalowany na komputerach klienckich.
 

13. Kliknij opcję Wybierz istniejący certyfikat. Wprowadź ścieżkę do certyfikatu. W tej demonstracji certyfikat został skopiowany do katalogu głównego dysku C:\ w kontrolerze domeny. Wprowadź hasło , za pomocą którego zostało zapisane.

14. Kliknij, aby zaznaczyć pole wyboru "Zezwalaj na dodawanie certyfikatu do magazynu certyfikatów zaufanych głównych urzędów certyfikacji na komputerach docelowych" i kliknij przycisk OK.

15. Zwróć uwagę na stan Gotowości do zastosowania na ekranie konfiguracji wdrożenia. Kliknij przycisk Zastosuj.

16. Po kilku chwilach na ekranie widać, że operacja została ukończona pomyślnie, a kolumna Poziom rozpoznaje certyfikat jako "Zaufany".

17. Kliknij rolę dostępu sieciowego pulpitu zdalnego i powtórz kroki 13-16, aby ją skonfigurować. W ten sposób ten sam certyfikat jest używany w IIS. Kliknij przycisk OK , aby zamknąć ekran konfiguracji wdrożenia.

Konfiguracja zasad autoryzacji połączenia i zasad autoryzacji zasobów.

Zanim użytkownicy będą mogli połączyć się z wdrożeniem za pomocą serwera bramy usług pulpitu zdalnego, konieczne jest skonfigurowanie CAP i RAP.

Zasady autoryzacji połączenia (CAP) umożliwiają określenie, kto może łączyć się z serwerem bramy RDS.

Zasady autoryzacji zasobów (RAP) umożliwiają określenie, do jakich serwerów lub komputerów mają dostęp autoryzowani użytkownicy.
 

18. Na serwerze bramy RDS otwórz Menedżer serwera, kliknij pozycję Narzędzia, Usługi pulpitu zdalnego, a następnie Menedżerbramy usług pulpitu zdalnego.

19. Kliknij prawym przyciskiem myszy nazwę serwera (RDSFARM na obrazie), a następnie kliknij polecenie Właściwości.

20. Na karcie Server Farm dodaj nazwę serwera bramy usług pulpitu zdalnego (ponownie RDSFARM na obrazie) i kliknij przycisk Zastosuj. 
    
    

21. Zignoruj błąd dotyczący modułu równoważenia obciążenia. Jest to oczekiwane. Kliknij przycisk OK, zastosuj jeszcze raz, a stan będzie teraz wyświetlany ok.

22. Na karcie Certyfikat SSL można wyświetlić i zmienić konfigurację certyfikatu serwera bramy rd. W razie potrzeby utwórz nawet nowy certyfikat z podpisem własnym . Wszystko to zostało jednak skonfigurowane w brokerze połączeń.

23. Kliknij przycisk OK , aby wyjść z ekranu właściwości.

24. Na głównym ekranie programu RD Gateway Manager rozwiń serwer, a następnie zasady.
     

25. Kliknij prawym przyciskiem myszy zasady autoryzacji połączenia, a następnie kliknij opcję Create New Policy (Utwórz nowe zasady ), a następnie Wizard (Kreator).

26. Wybierz opcję Create an RD CAP i RD RAP (zalecane). Kliknij przycisk Next.

27. Wprowadź nazwę nakładki rd. Kliknij przycisk Next.

28. Kliknij przycisk Dodaj grupę i wprowadź nazwę grupy zawierającej użytkowników, którzy mogą się łączyć. Użytkownicy domeny służą do tego obrazu przewodnika. Kliknij przycisk Next.

29. Pozostaw ustawienia domyślne w krokach przekierowania urządzenia i limitu czasu sesji, klikając przycisk Dalej na obu ekranach, a także na ekranie Podsumowanie, a następnie przejdź do rapu rd.

30. Wprowadź nazwę, kliknij przycisk Dalej. Pozostaw ustawienie domyślne w sekcji Grupa użytkowników i ponownie kliknij przycisk Dalej .

31. Na ekranie Zasoby sieciowe , jeśli istnieje grupa active directory zawierająca konta komputerów serwerów hostów sesji tego wdrożenia RDS, należy ją określić. W przeciwnym razie wybierz opcję "Zezwalaj użytkownikom na łączenie się z dowolną opcją zasobu sieciowego (komputera)". Kliknij przycisk Next.

32. Pozostaw domyślny port 3389 dla komunikacji bramy intranetowej z hostami sesji RDS. Kliknij przycisk Next.

33. Kliknij przycisk Zakończ na ekranie podsumowania, a następnie zamknij.

Serwer bramy RDS jest gotowy do umieszczenia poza zaporą, skierowaną do użytkowników Internetu. Użytkownik próbujący połączyć się z hostami sesji RDS z lokalizacji domowej lub zdalnej przez Internet musi najpierw przejść przez ten serwer bramy RDS.

Połącz się z wdrożeniem

1. Aby połączyć się z wdrożeniem RDS przy użyciu nowo skonfigurowanej bramy RD, w aplikacji Połączenie pulpitu zdalnego komputera klienckiego wprowadź nazwę hosta sesji rd lub komputera docelowego.

2. Kliknij przycisk Pokaż opcje , kartę Zaawansowane , a w sekcji Połącz z dowolnego miejsca kliknij opcję Ustawienia.

3. Kliknij przycisk współczynnika "Użyj tych ustawień serwera bramy RD" i wprowadź publiczną nazwę DNSbramy RDS.

4. Kliknij przycisk OK i połącz. Wprowadź nazwę użytkownika i hasło domeny serwera bramy usług pulpitu zdalnego i docelowego hosta sesji. Połączenie powinno zakończyć się pomyślnie.

Monitorowanie połączeń bramy usług pulpitu zdalnego

W komputerze bramy RDS, w menedżerze bramy rd i w obszarze Monitorowanie widoczne są szczegóły połączenia.